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1 EPO 

Description 

La presente invention a pourobjet un procede et 
un systeme pour Sexploitation securisee d'un logiciel. 

De facon plus precise la presente invention 
concerne la securisation de I'exploitation de logiciel 
par un utilisateur qui a acquis aupres d'un detenteur 
un droit d'utilisation de ce logiciel. 

On sait que la protection des logiciels contre des 
copies illicites par I'utilisateur est tres difficile et que 
cette protection correspond a un interet economique 
reel. 

Pour proteger certains logiciels de valeur elevee 
contre une recopie illicite on a propose d'associer au 
logiciel une memoire externe par exemple du type 
ROM et qui doit etre enfichee dans un port d'en- 
tree/sortie du microordinateur sur lequel est exploits 
le logiciel. Si la memoire externe n'est pas connectee 
au microordinateur il n'est pas possible de mettre en 
oeuvre le logiciel correspondant. Un tel systeme de 
protection presente Tin convenient d'etre pass if. II 
suffit done au f raudeur d'analyser I'echange des si- 
gnaux entre la memoire externe et le microordinateur 
pour pouvoir ulterieurement simuler une memoire ex- 
terne, ce qui rend la protection caduque. 

Pour eviter cet inconvenient on a egalement pro- 
pose d'associer au support principal d'information sur 
lequel estenregistre le logiciel qui doit etre protege un 
support d'information amovible qui est charge dans 
un dispositif annexe au systeme principal d'exploita- 
tion du logiciel. Sur ce support amovible est stockee 
une partie du logiciel. 

La partie principale du logiciel stockee sur le dis- 
que principal du micro-ordinateur n'est pas suffisante 
pour permettre ('execution de ('ensemble du logiciel. 
Le support amovible est de preference du type carte 
a memoire electronique avec con t role d'acces a la 
memoire de la carte. Cette solution permetd'amelio- 
rer la protection du logiciel contre une copie mais elle 
presente ('inconvenient d'exiger de nombreux dialo- 
gues entre le dispositif principal d'exploitation du lo- 
giciel et le dispositif annexe dans lequel est introduite 
la carte a memoire ce qui red u it tres sensiblement la 
vitesse d'execution du logiciel. C'est ce qui est decrit 
dans le document FR-A-2 606 185. 

Le document WO-88/05941 propose d'associer a 
l'unite centrale une unite annexe de contrdle. L'unite 
centrale emet des messages vers l'unite annexe qui 
code ces messages puis restitue a l'unite centrale le 
message code qui est compare au message emis. 
Cette solution n'est que partielle puisqu'elle n'empe- 
che pas physiquement I'execution du logiciel par ('uni- 
te centrale. 

Un objet de invention est de fournir un procede 
d'exploitation de logiciel protege contre des copies 
f rauduleuses qui assure le meme degre de protection 
que le systeme enonce precedemment mais qui dimi- 
nue des temps de transit entre le systeme principal 
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d'exploitation et te systeme annexe. 

Pour atteindre ce but, selon ('invention, le proce- 
de d'exploitation d'un logiciel a ('aide d'un systeme 
comprenant au moins une unite principale d'explotta- 

5 tion dudit logiciel et une unite annexe d'exploitation 
pour recevoir un support amovible d'informations 
comportant au moins une zone memoire et pour per- 
mettre I'echange d'informations entre ladite unite 
principale et ladite zone memoire, caracterise en ce 

10 qu'il comprend les etapes suivants : 

- on definit dans ledit logiciel un certain nombre 
de commandes de demande de communica- 
tion avec ladite unite annexe, lesdites 
commandes comprenant des premieres 

is commandes, chaque premiere commande 

etant associee a ('elaboration d'un resultat in- 
termediate pour ledit logiciel etdesdeuxiemes 
commandes, chaque deuxieme commande 
etant associee a une demande d'un resultat in- 

20 termediaire pour permettre I'execution du logi- 

ciel; 

- a I'apparition de chaque premiere commande, 
on transfere dans ladite zone memoire du sup- 
port amovible ledit resultat intermediate asso- 

25 cie, afin que ledit resultat intermediate n'est 

plus disponible dans ['unite principale ; et 

- a I'apparition de chaque deuxieme commande, 
on lit dans ladite zone memoire du support 
amovible un resultat intermediate et on le 

30 transfere dans ladite unite principale, par quoi 

ledit logiciel ne peutetre completement execu- 
te que si ledit support amovible convenable est 
present dans ladite unite annexe. 
On comprend qu'ainsi le logiciel ne peut etre ex- 
35 ploite si le support amovible d'informations n'est pas 
present dans le systeme annexe d'exploitation. Tou- 
tefois la quantite d'informations transitant entre les 
deux systemes est reduite, ce qui n'augmente pas 
sensiblement le temps d'exploitation. De plus le sup- 
40 port amovible d'informations ne comporte inrtiale- 
ment aucune information specif ique au logiciel au- 
quel il est associe. II en resulte que la programmation 
initiate de ce support est simplifiee. 

Un autre objet del'invention est de fournir un pro- 
45 cede d'exploitation de logiciel securise qui permette 
en outre la location du logiciel en ne faisant payer 
I'utilisateur qu'en fonction du temps effectif d'exploi- 
tation dudit logiciel. 

Un autre objet de I' invention est de fournir un sys- 
so teme pour la mise en oeuvre du procede enonce ci- 
dessus. Un tel systeme est defini dans la revendica- 
tion 7. 

D'autres caracteristiques et a vantages de I'in- 
vention apparaitront plus clairement a la lecture de la 
55 description qui suit d'un mode de realisation de ('in- 
vention donne a titre d'exemple non limitatif. La des- 
cription se refere au dessin annexe sur lequel: 

La figure 1 est une vue d'ensemble du systeme 
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Sexploitation du togiciel; 

La figure 2 est un bloc diagrams du circuit de la 

carte a memoire constituant le support amovible 

d'informations; 

La figure 3 est un organigramme d'une partie du 5 

logiciel exploite par le systeme; et 

la figure 4 est un organigramme des logiciels mis 

en oeuvre par le circuit de la carte. 

Avant de decrire en detail un mode prefere de 
mise en oeuvre de I'invention on va en expliquer ci- w 
apres le principe. 

Le logiciel qui est charge initialement dans le sys- 
teme d'exploitation principal comporte la total ite des 
instructions necessaires pour qu'il soit executable. 
Cependant ce logiciel comporte a certaines Stapes is 
des instructions qui commandent le chargement dans 
un support d'information annexe, de preference une 
carte a memoire electronique, de certains resultats 
intermediaires, ces resultats intermediaires n'etant 
pas memorises dans le systeme principal. Lorsque, 20 
dans le deroulement ulterieur du logiciel, ce resuitat 
intermediate doit etre utilise le logiciel comporte une 
instruction de lecture du resuitat intermediaire dans 
le support d'information annexe et le logiciel peut 
alors etre execute normalement dans le systeme prin- 25 
cipal. Af in d'eviter qu'un fraudeur ne puisse, a partir 
d'un ensemble licite constitue par le logiciel et une 
carte, illicitement analyser et memoriser les signaux 
emis par I'unite principale vers ('unite annexe et reci- 
proquement et simuler a partir de cet enregistrement 30 
la presence de la carte deux precautions principales 
sont prises. La premiere consiste a coder a ('aide de 
cles secretes tirees de facon aleatoire les informa- 
tions transitant entre I'unite principale et I'unite an- 
nexe. Pour toute demande de lecture dans la carte 35 
('instruction emise par le systeme central est code a 
I'aide d'une cle en cours. La re pons e du systeme an- 
nexe est codee a I'aide d'une nouvelle cl6 et le sys- 
teme annexe transmet de plus une nouvelle cle alea- 
toire codee a I'aide de I'ancienne cle. Cette nouvelle 40 
cle devientla cle en cours. Lorsque le systeme central 
demande une modification des informations conte- 
nues dans la carte ces instructions sont codees par 
la cle en cours et cette cle en cours est maintenue. 

La deuxieme precaution prise consiste a s'assu- 45 
rer que le temps necessaire pour I'execution de dif- 
ferentes parties du logiciel n'est pas excessivement 
augmented. En effet I'experience montre que, lors- 
que I'on cherche a frauder un programme pour I'ana- 
lyser et le memoriser, ces operations entrainent un re- so 
tard ou une augmentation du temps necessaire pour 
('execution de la partie correspondante du logiciel. 
Pour mettre en oeuvre cette deuxieme precaution, a 
chaque fois qu'une demande de liaison entre I'unite 
cent rale et I'unite annexe estfaite, une information de 55 
duree est transmise vers le systeme annexe c'est a 
dire vers la carte. Cette information de duree est un 
majorant du temps qui doit normalement s'Scouler 



I B1 4 

lors de ('execution du logiciel entre cette commando 
et la demande de communication entre I'unite centra- 
le et I'unite annexe suivante. Cette information de du- 
ree est memorisee dans la carte et elle est comparee 
au temps effectif qui s'ecoule entre les deux deman- 
des de mise en communication successives. Si le 
temps effectif est superieur a ('information de duree 
de temps I'acces a la carte est inhibe rendant ainsi im- 
possible ('execution du logiciel. 

En se referant tout d'abord a la figure 1 on va de- 
crire I'ensemble du systeme pour ('exploitation secu- 
risee d'un logiciel. II com pre nd une units principale 
d'exploitation du logiciel 10 de type classique. Surla 
figure on a fait apparaTtre le clavier 12 d'entree de 
donnees, la fente 14 du lecteur de support magneti- 
que d'information 16 et la memoire principale du dis- 
que dur 18 de I'unite principale. A I'unite principale 10 
est associee une unite annexe 20 qui consiste dans 
un lecteur de carte a memoire electronique 22. Le lec- 
teur 22 comprend essentiellement un systeme de gui- 
dage de la carte a memoire 24 dont on a represents 
seulement la fente d'introduction 26 un connecteur 
non represente et un circuit de traitement 28. Le cir- 
cuit de traitement 28 a simplement pour but de rece- 
voir les informations emises par I'unite principale 10 
ou d'envoyer par celle-ci des informations lues dans 
la carte et de commander les operations de lecture ou 
d'Scriture dans le circuit integre de la carte 24. 

En se rSfSrant maintenanta la figure 2, on va de- 
crire un mode de realisation du circuit 30 de la carte 
24. La carte 24 comprend des contacts externes 32 
qui sont relies notamment au BUS 34 du circuit 30. 
Relies au BUS 34 on trouve les composants sui- 
vants : un circuit d'horloge 36 delivrant des impul- 
sions de temps ; un gSnSrateur de nombres aleatoires 
au pseudo-aleatoires 38 ; une units centrale de trai- 
tement 40, une mSmoire de programme 42, du type 
ROM ; une memoire de soldes successifs 44, du type 
EPROM ou EEPROM ; et une mSmoire volatile 46 qui 
constitue d'une part une memoire de travail pour 
I'unite centrale de traitement 40 et d'autre part une 
memoire de stockage non permanent de resultats in- 
termediaires venant de I'unite prinipale de traitement 
1 0. En d'autres tenmes la carte 24 est du type a mi- 
cro processeur. 

La carte 24 peut avoir des contacts externes du 
type ISO ou des contacts multiples alignes disposes 
le long d'un bord de la carte. 

La memoire morte 42 est chargee d'un certain 
nombre de programmes dont la mise en oeuvre est ef- 
fectuSe par ('unite centrale de traitement 40. On trou- 
ve tout d'abord un programme GES de gestion des 
fonctionnalites du circuit de la carte et des sous- 
programmes specifiques. Ces derniers com pre n- 
nent : le sous-programme COD qui sert a coder une 
information emise vers I'unite principale 10 a I'aide 
d'une de qui est soit delivree par le generateur de 
nombres aleatoires 38 soit memorisee temporaire- 
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ment dans la memoire 46 ; le sous- programme DE- 
COD qui set a decoder une information recue de I'uni- 
te principale 10 a I'aide d'une cte memorisee tempo- 
rairement dans la memoire 46 ; un sous-programme 
COMP qui sert a comparer une information de duree 
t„ memorisee dans la memoire 46 a une information 
de temps ecoulee T n elaboree a partir des implusions 
delivrees parl'horloge 36 et d'une information d'initia- 
lisation ; un sous-programme SOLDES qui sert d'une 
part a decrementer une information de solde disponi- 
ble memorisee dans la memoire 44 en fonction des in- 
formations de temps ecoule T n et d'autre part a emet- 
tre un signal d' alarms AL lorsque le solde dans la me- 
moire 44 devient nul ; un sous programme IN- 
TERRUPT qui permet d'interrompre rincrementation 
de I' information de temps ecoule T n a la reception 
d'un signal specif ique AR et de reprendre cette incre- 
mentation a la reception d'un signal REP ; et un sous- 
programme INHIBIT qui permet d'interd ire I'acces au 
circuit de la carte en fonction des resultats de la mise 
en oeuvre du sous- programme COMP. En d'autres 
termes le sous-programme INHIBIT est active pour 
interdire I'acces au circuit de la carte 24 a chaque fois 
que le sous-programme COM PAR a detecte un de- 
passement de temps ecoule T n par rapport a I'lnfor- 
mation conrespondante de duree tn. 

En se reTerant maintenant a la figure 3 qui montre 
une partie du logiciel L a executer, on va expliquer une 
autre partie de I'invention. Sur cette figure on a repre- 
sents sous forme d 'organigram me une partie du logi- 
ciel L stocke sur le support 16, ce support ayant ete 
remis a I'utilisateur en mfime temps que la carte de 
securisation 24. Le logiciel L est bien surcharge dans 
la memoire central e 18 de ('unite principale de traite- 
ment 10. 

Comme le montre la figure 3, le logiciel Lcompor- 
te des instructions qu'on trouverait dans ce logiciel 
s'il n 'eta it pas s6curis6 conformement a I'invention, et 
un nombre limits d'instructions qui sont specifiques 
a la securisation du logiciel selon I'invention. On trou- 
ve des etapes de traitement 50, 52, 54, 56 et des eta- 
pes de test 58 et 60 qui correspondent au logiciel L 
"normal" c'est a dire non securise. On trouve egale- 
ment des instructions de commande de mise en 
communication avec I'unite auxiliaire 20, c'est a dire 
avec le circuit 30 de la carte 24. L'ensemble des ins- 
tructions 62 correspondent a la commande a 
pour but de transferer vers I'unite auxiliaire 20, et plus 
precisement vers la memoire 46 du circuit de la carte 
un resultat intermedia ire Rl, qui a ete el a bore par 
I'execution de parties du logiciel L qui precedent celle 
qui est representee sur la figure 3. Par cette comman- 
de Cn.i le resultat intermediaire Rlj est memorisee 
dans la carte et non dans I'unite centrale de traite- 
ment 10. 

De meme l'ensemble des instructions 64 corres- 
pondant a la commande C n est specif ique a la secu- 
risation du logiciel L selon I'invention. A ce stade 



d'execution du logiciel L, celui-ci doit disposer d'un re- 
sultat intermediaire Rl b qui a ete elabore precedem- 
ment dans I'exploitation du logiciel. Comme on I'a ex- 
plique precedemment le resultat intermediaire Rl b 

5 n'est pas memorise dans I'unite principale de traite- 
ment 1 0 mais uniquement dans la memoire 46 du cir- 
cuit de la carte 24. La commande C n etablit la liaison 
avec I'unite auxiliaire 20 pour provoquer le transfert 
du resultat intermediaire Rl b vers I'unite principale 10 

10 et permettre ainsi la poursuite du deroulement du lo- 
giciel L. On comprend des a present que, si la carte 
24 n'est pas presente dans I'unite auxiliaire 20, le lo- 
giciel L ne peut plus etre exploite. 

Le logiciel L selon I'invention comporte un autre 

15 type d'infonmations specifiques associees aux 
commandes C n . 

A chaque etape d'execution du logiciel, 52 a 56 
sur la figure 3, on peut associer un temps "normal" 
d'execution, s1, s2, s3, s4. Doncentre les etapes de 

20 commande 62 et 64 on peut definir un temps total 
maximal d'execution de cette partie du logiciel 
compte tenu des etapes de test 58 et 60. Dans le cas 
particulier de la figure 3, ce temps maximal d'execu- 
tion t^ ! est donne par ('expression : 

25 t n . 1 = sup(s1,s2 + s3, s4) 

En meme temps que la commande C^ t provoque 
le transfert du resultat intermediaire Rl| dans la me- 
moire de la carte 24, cette commande provoque le 
transfert de ('information de duree t^. De meme la 

30 commande C n provoque le transfert du resultat inter- 
mediaire Rl b de la carte 24 vers I'unite principale 10, 
et egalement celui de I* information de duree tp corres- 
pondant au temps "normal" d'execution du logiciel L 
entre fa commande C n et la commande suivante C n+1 

35 (non representee sur la figure 3). 

Af in d'accrottre encore la securisation de I'exploi- 
tation du logiciel, les informations qui transitent de 
I'unite principale 10 vers I'unite auxiliaire 20 et de 
I'unite auxiliaire 20 vers I'unite principale 10 sont co- 

40 dees comme on I'a deja indique succinctement. Le 
codage est effectue a I'aide de cles f n qui sont elabo- 
rees par le generateur de nombres aleatoires 38 du 
circuit 30 de la carte 24. Du fait du changement de cle 
de codage selon un processus qui sera explicite ulte- 

45 rieurement deux exploitations sucessives identiques 
du logiciel L correspondront a la transmission d'infor- 
mations codees differentes entre I'unite principale 10 
et I'unite annexe du fait du changement des cles. On 
comprend done que l'ensemble des instructions 62 et 

so 64 comprennent en fait la mise en oeuvre d'un algo- 
rithms de codage (62) ou de decodage (64) a I'aide 
d'une cle qui a ete transmise par la carte a I'unite prin- 
cipale dans une etape precedente. Ce processus 
sera explicite en detail ulterieurement. On peut toute- 

55 fois a ce stade de la description, donner les indica- 
tions suivantes : A chaque instruction de commande 
C n consistant a demander la lecture d'un resultat in- 
termediaire Rlj deja memorise dans la carte, la carte 
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repond en transmettant a I'unit6 principale 10 d'une 
part le resultat intermediaire Rlj codee a I'aide d'une 
nouvelle cle f n elaboree par te generateur de nombres 
aleatoires 38 et d'autre part la nouvelle cle f n codee 
a i'aide de la cle precede nte f fr ^ . Ala reception de ces 
deux informations, I'unite principale decode la nou- 
velle cle f n a I'aide de la cle precedente , qu'elle a 
deja en memoire et, a I'aide de cette nouvelle cle f n , 
elle decode le resultat intermediaire lu Rlj. Lorsqu'une 
command e C n emise par I'unite principale consiste 
dans la transmission a la carte 24 d'un nouveau re- 
sultat intermediaire Rlj qui doit y 6tre memorise, le re- 
sultat intermediaire est code a I'aide de la valeur de 
cle f n en cours et elle est decodee par la carte a I'aide 
de cette meme cle. 

II faut ajouter que le programme resident dans 
('unite principale de traitement comporte un sous- 
programme INTERRUPT lie a la gestion des informa- 
tions de duree tn. Pour I'execution de certaines par- 
ties du logiciel L, I'utilisateurdoit introduire dans I'uni- 
te principale des donnees ou instructions externes a 
I'aide du clavier 12 associe a I'unite principale. On 
com p rend que le temps d'introduction de ces informa- 
tions externes depend de ('application particulars fai- 
te du logiciel L et egalement, dans une certaine me- 
sure de I'habilete de I'utilisateur pour taper ces infor- 
mations sur ce clavier. L'information de duree norma- 
le d'execution t n de la partie du logiciel incfuant cette 
phase d'introduction de donnees externes est done 
pratiquement impossible a determiner a I'avance. 
Pour resoudre ce probleme, a chaque fois que le lo- 
giciel L demande ('introduction d'une information a 
I'aide du clavier 12 ou toute autre operation dont la 
duree ne peut Stre determinee a I'avance, le sous- 
programme INTERRUPT transmet a la carte 24 un si- 
gnal AR qui interrompt le decompte des impulsions de 
temps delivrees par le circuit d'horloge 36. A la fin de 
1'introduction des donnees externes le sous- 
programme INTERRUPT transmet vers la carte 24 un 
signal REP qui commande la reprise du decompte 
des impulsions de temps. Ainsi la duree de la phase 
d'introduction de donnees n'est pas prise en compte 
dans la determination du temps effectif T n qui s'ecou- 
le entre deux signaux de commande consecutifs. Le 
programme resident comporte aussi des moyens 
pour memoriser la cle f n recue du dispositif annexe et 
pour effacer la cle f n . , recue prec6demment. 

En se referant plus particulierement a la figure 4 
on va decrire le fonctionnement du systeme selon I'in- 
vention. La figure 4 montre I'organigramme du pro- 
gramme GES qui est stocke dans la memoire 42 de 
la carte et qui est mis en oeuvre par I'unite central e 
de traitement 40 du circuit de la carte. 

Ala reception d'un signal de ('unite principale 10 
via le lecteur 20, le programme GES met en oeuvre 
un test 108 pour determiner la nature du signal recu. 
II s'agit soit d'une commande C n de demande d'ecri- 
ture dans la carte (1 02), soit d'une commande de 



demande de lecture dans la carte (104) ; soit d'un si- 
gnal AR (106) soit encore un signal REP (108). On va 
d'abord decrire le deroulement du programme GES, 
dans le cas ou I' information recue est une commande 

5 de demande d'ecriture (1 02). Le programme GES ap- 
pelle le sous-programme DECOD (110) pour decoder 
l'information a I'aide de la cle courante f n qui est me- 
morisee dans la memoire 46. Le resultat intermediaire 
ainsi decode Rlj est ecrit dans la memoire 46 (112). 

10 Le message recu con tie nt egalement une information 
de duree tn (114) qui est memorises dans la memoire 
46 (116). La reception de cette commande C n provo- 
que egalement en 118 I'arret du decompte (120) des 
impulsions delivrees par le circuit d'horloge 36 pour 

15 elaborer l'information de temps effectivement ecoule 
T rv1 et ('initialisation (118) d'un nouveau decompte 
d'impulsions d'horloge pour I'elaboration d'une nou- 
velle information de temps effectivement ecoule T n . 
Le programme GES appelle alors le sous programme 

20 COMP (122) pour comparer le temps effectivement 
ecoule Tn_ 1 a l'information de duree t^ 1 precedem- 
ment recue. Si T M <t Ml e'est a dire si le logiciel L a 
ete normalement execute, te programme GES appel- 
le le sous-programme SOLDES (124) qui decremen- 

25 te, dans la memoire 44 le solde precedent d'un mon- 
tant correspondant a la duree effective d'utiiisation 
Tn_i.De plus l'information t^ est effacee de la me- 
moire 46. Dans le cas contraire (T^ 0 e'est qu'il 
y a eu une tentative de f raude et le programme GES 

30 appelle le sous-programme INHIB (125) qui interdit 
I'acces au circuit de la carte 24 a partir de I'unite prin- 
cipale 10. Le logiciel L ne peut plus 6tre exploits. 

On va maintenant decrire le deroulement du pro- 
gramme GES dans le cas ou le test 100 a detecte la 

35 reception d'une commande C^ de demande de lec- 
ture (104). Le programme GES appelle le sous- 
programme DECOD pour decoder les informations 
recues a I'aide de la cle courante f n stockee dans la 
memoire 46. On obtient ainsi une nouvelle informa- 

40 tion de dur£e t^ (126) qui est memorisee dans la me- 
moire 48 (1 28). Puis l'information intermediaire Rlj est 
lue dans la memoire 46 a I'adresse convenable (130). 
Le programme GES appelle alors le sous-programme 
COD. Al'aide du sous-programme COD le resultat in- 

45 termediaire Rlj est code avec u ne nouvelle cle f n+1 de- 
livree par le generateur de nombres aleatoires 38. De 
meme la nouvelle cle f^ est codee a I'aide de la cle 
precedente fn memorisee (1 34). L'ancienne cle fn est 
effacee de la memoire 46 et remplacee par la cle f n+ i- 

so Comme dans le cas d'une commande de demande 
d'ecriture, le programme GES va gererles operations 
de contrdle du temps d'execution. A la reception de 
ces informations, le decompte du temps effectif ecou- 
le T n est arrete (136) et une nouvelle phase de de- 

55 compte des impulsions d'horloge (138) est inrtiee 
pour la determination du nouveau temps effectif 
ecoul6 Tp+v Puis le programme GES appelle le sous- 
programme COMP pour comparer le temps effective- 
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merit ecoule T n a rinformation de duree t„ correspon- 
dents precedemment recue. 

Si T n <tn le logiciel L a ete correctement execute 
et le programme GES appelle le sous programme 
SOLDES pour d6crementer dans la memoire 44 de la 
carte le solde disponible d'un montant correspondent 
au temps effectif d'utilisation T n . Si T n >t„ c'est qu'il y 
a eu une tentative de f raude et le programme GES ap- 
pelle le sous-programme INHIB pour intend ire I'acces 
au circuit de la carte 24. 

L'etape de test 100 peut egalement detector que 
1'information recue est le signal AR (106) ou le signal 
REP (108). Dans ce cas le programme GES appelle 
le sous programme INTERRUPT. Si c'est rinforma- 
tion qui est recue AR le sous programme INTERRUPT 
(150) commande I'arrSt du d£compte des impulsions 
de temps servant a ^laborer les informations de 
temps effectif 6coul6 Tn_ ^ ou T n (1 20, 1 38). Si le signal 
recu est le signal REP le sous-programme IN- 
TERRUPT commande la reprise du d6compte des im- 
pulsions de temps. 

Dans la description precedents les circuits de la 
carte 24 n'Slaborent une nouvelle cle que si elle recoit 
une commande de lecture d'un resultat intermedia ire 
deja memorise. Selon une variante de mise en oeuvre 
de rinvention, la carte 6met une nouvelle cte egale- 
ment en rSponse a une commande d'ecriture dans la 
carte. Remission de cette nouvelle cle est associee 
a ('emission d'un signal d'acquittement 

Selon les modes de realisation precedemment 
d£crits la carte a memoire ne comporte aucune infor- 
mation specifique au logiciel particulier avec lequel 
elle est remise ce qui simplif ie bien sur la program- 
mation initial e de la carte. II est toutefois possible de 
prevoir que la carte contienne, par exemple dans la 
memoire 44 une information f bee specifique au logi- 
ciel auquel elle est associee. Dans ce cas, a chaque 
fois que la carte est appelee on v6rifie que 1'informa- 
tion specifique est bien celle qui est associee au lo- 
giciel en cours d'exploitation surl'unite principale 10. 

Enf in il faut souligner que I'invention permet une 
facturation de la "location" du logiciel en fonction du 
temps effectif d'utilisation. En effet lorsque I'utilisa- 
teur recoit un exemplaire du logiciel avec la carte as- 
sociee, la memoire 44 comporte un montant initial 
correspondant a un credit de temps d'utilisation du lo- 
giciel. Au fur et a mesure de ('exploitation du logiciel 
le solde est decremente. Lorsque ce solde devient 
nul, I'utilisateur doit verser une nouvelle somme pour 
qu'on charge dans sa carte un nouveau montant ini- 
tial correspondant a une nouvelle "location" du logi- 
ciel. 



Revindications 

1. Precede d'exploitation d'un logiciel a I'aide d'un 
systeme comprenant au moins une unite princi- 



pale d'exploitation dudit logiciel et une unite an- 
nexe d'exploitation pour recevoir un support 
amovible d'informations comportant au moins 
une zone memoire et pour permettre I'echange 
5 d'informations entre ladite unite principale et la- 
dite zone memoire, caractense en ce qu'il 
comprend les etapes suivants : 

- on def init dans ledit logiciel un certain nom- 
bre de commandos de demande de 

10 communication avec ladite unite annexe, 

lesdites commandos comprenant des pre- 
mieres commandes (CJ, chaque premiere 
commande etant associee a I'elaboration 
d'un resultat intermediate pour ledit logiciel 

15 et des deuxiemes commandes (C n ), chaque 

deuxieme commande etant associee a une 
demande d'un resultat intermediate pour 
permettre I'execution du logiciel ; 

- a ('apparition de chaque premiere comman- 
20 de (C n ), on transfers dans ladite zone me- 
moire du support amovible ledit resultat in- 
termediaire associe, af in que ledit resultat 
intermediaire n'est plus disponible dans 
I'unite principale; et 

25 - a I 'apparition de chaque deuxieme 

commande (CJ, on lit dans ladite zone m6- 
moire du support amovible un resultat inter- 
mediaire et on le transfers dans ladite unite 
principale, parquoi ledit logiciel ne peut et re 

30 complement execute que si ledit support 

amovible convenable est present dans ladi- 
te unite annexe. 

2. Procede selon la revendication 1, caractense en 
35 ce que, dans ledit logiciel, on associe a au moins 

certaines commandes (CJ une information de 
duree (tn) qui est au moins egale au temps d'ex6- 
cution normal e dudit logiciel entre ladite 
commande (C n ) et la commande suivante (C^) ; 

40 on transmet a ladite unite annexe ladite informa- 
tion de duree (y et on compare dans ladite unite 
annexe le temps qui s'ecoule effectivement entre 
la reception de deux commandes successives et 
1'information de duree t n ; et on inhibe ou non I'ac- 

45 ces a ladite unite annexe en fonction du resultat 
de ladite comparaison. 

3. Proc6de selon I'une quelconque des revendica- 
tions 1 et 2, caractense en ce qu'a la reception de 

so chaque deuxieme commande (C n ), ladite unite 
annexe transmet une reponse codee a I'aide 
d'une nouvelle cle secrete (f^) et une nouvelle 
cle secrete (f^) cod6e a I'aide de la cle prece- 
dents (f n ). 

55 

4. Precede selon la revendication 2, dans lequel le- 
dit logiciel est loue par un detenteur a un utilisa- 
teur, caracterise en ce qu'on def init de plus dans 
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la zone memoire dudit support amovible une 
deuxieme zone de soldes monetaires, en ce 
qu'au moment de la fourniture du logiciel on ins- 
crit dans tadite deuxieme zone un solde monetai- 
re initial et en ce que, lors de ('utilisation dudit lo- 
giciel, led it solde est decrements en fonction des 
informations de temps effectivement ecoule (f n ) 
elaborees par ladite unite annexe. 

5. Precede selon la revendication 4, caracterise en 
ce que ladite unite principale est apte a emettre 
vers ladite annexe des informations d' interrup- 
tion lors de certaines phases d 'execution dudit lo- 
giciel et en ce que ladite unite annexe, a la recep- 
tion d'une information d'interruption, interrompt 
la mesure du temps effectivement ecoule depuis 
la commande (C n ) precedente et done la decre- 
mentation du solde monetaire. 

6. Procede selon la revendication 3, caracterise en 
ce qu'a la reception de chaque premiere 
commande (C n ), ladite unite annexe transmet un 
signal d'acquittement code a I'aide d'une nouvel- 
le de secrete (f nh ) et une nouvelle cle secrete (f nh ) 
codee a I'aide de la cle precedente (f n ). 

7. Systeme d'exploitation d'un logiciel fourni par un 
detenteur a un utilisateur comprend : 

un premier support (16) dans lequel est 
memorise I edit logiciel ; 

un deuxieme support (24) amovible 
comportant une zone memoire (44) apte a rece- 
voir des informations ; 

une unite principale (10) pour charger et 
executer ledit logiciel du premier support ; et 

une unite annexe (20) apte a recevoir ledit 
deuxieme support, ladite unite annexe etant re- 
liee a ladite unite principale pour permettre 
I'echange d' informations entre ladite unite princi- 
pale et ladite unite annexe ; ledit systeme se ca- 
racterisant en ce que : 

ledit logiciel stocke dans ledit premier sup- 
port comprend en plus de I'ensembledes instruc- 
tions d'execution, des premieres commandes 
(C n ) pour commander le transfert vers ladite unite 
annexe des resultats intermediaires (Rl) et des 
deuxiemes commandes (C n ) pour demander a la- 
dite unite annexe la fourniture a ('unite centrale 
de resultats intermediaires precedents, et 

en ce que ladite unite annexe comprend 
des moyens pour stacker dans la zone memoire 
dudit deuxieme support amovible lesdits resul- 
tats intermediaires emis par ladite unite principa- 
le et pour transmettre a ladite unite principale des 
resultats intermediaires a la reception d'une 
deuxieme commande (C n ). 

8. Systeme selon la revendication 7, caracterise en 



ce que ledit deuxieme support amovible est une 
carte a memoire (24) a circuit elect ronique 
comprenant des moyens de memorisation (44) et 
des moyens de traitement (40). 

5 

9. Systeme selon la revendication 8, caracterise en 
ce que, dans ledit logiciel, on associe a au moins 
certaines desdites commandes (Cn) une informa- 
tion de duree (U qui est au moins egale au temps 

10 d'execution normal e dudit logiciel entre ladite 
commande (CJ et la commande suivante (C^), 
en ce que ladite unite principate comprend des 
moyens pour emettre vers I'unite annexe ladite 
information de duree (t n ), et en ce que lesdits 

15 moyens de traitement de la carte comprennent 
des moyens pourdecompterle temps effectif (T n ) 
qui s'ecoule entre ladite commande (C n ) et la re- 
ception de la commande suivante (C^) et des 
moyens pour comparer I'information de duree (t n ) 

20 et ledit temps effectif (T n ). 

10. Systeme selon Tune quelconque des revendica- 
tions 7 a 9, caracterise en ce que lesdits moyens 
de traitement comprennent des moyens d'elabo- 

25 ration de cles secretes (f n ), et des moyens pour 
elaborer, en reponse a la reception d'une 
commande (Cn), une reponse codee a I'aide de 
ladite cle (f n ), et ladite cle (f n ) codee a I'aide de la 
cle precedente (f^). 

30 

11. Systeme selon la revendication 9, caracterise en 
ce que ladite carte comprend des moyens me- 
moire (44) pour stocker une information de solde 
monetaire initial lors de la remise de ladite carte 

35 avec ledit premier support (1 6) contenant ledit lo- 
giciel et en ce que lesdits moyens de traitement 
(40) de la carte comprennent des moyens pour 
decrem enter ledit solde initial en fonction des in- 
formations de temps effectif (T n ). 

40 

12. Systeme selon I'une quelconque des re vendi- 
tions 7 a 1 1 , caracterise en ce que ladite unite an- 
nexe (20) est un lecteur de cartes a memoire (22) 
apte a transmettre vers le circuit (30) de ladite 

45 carte (24) des instructions de lecture et des ins- 
tructions d'ecriture d'informations. 



Patentanspruche 

50 

1. Verfahren zum Betrieb eines Rechnerpro- 
gramms mit Hiife eines Systems mit wenigstens 
einer Hauptbetriebseinheit des Rechnerpro- 
gramms und einer Zusatzbetriebse in heitzur Auf- 
55 nahme eines entfernbaren Informationstragers 

mit wenigstens einer Speicherzone, und urn den 
Informationsaustausch zwischen der Hauptein- 
heit und der Speicherzone zu ermoglichen, da- 
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durch gekennzeichnet, daft es die folgenden 
Schritte aufweist: 

- in dem Rechnerprogramm wird eine gewis- 
se Anzahl von Verb indungsa nf rage befeh- 

len mit der Zusatzeinheit definiert, wobei 5 
die Befehle erste Befehle (C n ) aufweisen, 
wobei jeder erste Befehl der Ersteltung ei- 
nes Zwischenergebnisses fur das Rechner- 
programm zugeordnet ist, und zweite Be- 
fehle (CJ aufweisen, wobei jeder zweite 10 
Befehl einer Abf rage eines Zwischenergeb- 
nisses zugeornet ist, urn die Durchfuhrung 
des Rechnerprogramms zu ermoglichen; 

- bei Auftauchen eines jeden ersten Befehl s 

(C n ) wird in die Speicherzone des entfern- is 
baren Tragers das zugeordnete Zwischen- 
ergebnis transferiert, dam it das Zwischen- 
ergebnis in der Haupteinheit nicht mehr zur 
Verf ugung steht; und 

- beim Auftauchen eines jeden zweiten Be- 20 
fehls (Cp) wird in der Speicherzone des ent- 
fernbaren Tragers ein Zwischenergebnis 
gelesen, und dieses zur Haupteinheit uber- 
tragen, wodurch das Rechnerprogramm 

nur dann vollstandig ausgefuhrt werden 25 
kann, wenn der geeignete entfernbare Tra- 
ger in der Zusatzeinheit vorhanden ist. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet dad in dem Rechnerprogramm wenig- 30 
stens gewisse Befehle (C n ) einer Zeitdauerinfor- 
mation (t n ) zugeordnet werden, die mindestens 
gleich der normalen Ausfuhrungszeit des Rech- 
nerprogramms zwischen dem Befehl (C n ) und 
dem nachfolgenden Befehl (C n+1 ) ist; der Zusatz- 35 
einheit die Zeitdauerinformation (t n ) ubertragen 
wird, und in der Zusatzeinheit die Zeit, die tat- 
sachlich zwischen dem Empfang der beiden auf- 
einanderfolgenden Befehle und der Zeitdauerin- 
formation (y verstreicht, verglichen wird; und der 40 
Zugang zur Zusatzeinheit in Abhangigkeitdes Er- 
gebnisses des Vergleichs gehemmt wird Oder 
nicht 

3. Verfahren nach einem der Anspruche 1 Oder 2, 45 
dadurch gekennzeichnet, dad bei der Aufnahme 
eines jeden zweiten Befehls (C n ) die Zusatzein- 
heit eine Antwort, die mit Hilfe eines neuen Ge- 
heimschlussels (f^,) codiert ist, und einen neuen 
Geheimschlussel (fn+n), der mit Hilfe des vorher- so 
gehenden Schlussels (f n ) codiert ist, ubertragt 

4. Verfahren nach Anspruch 2, bei dem das Rech- 
nerprogramm durch einen Besitzer einem Benut- 

zer geliehen wird, dadurch gekennzeichnet, daft 55 
weiterhin in der Speicherzone des entfernbaren 
Tragers eine zweite Zone von Geldsalden defi- 
niert wird, dad im Augenblick des Lieferns des 



Rechnerprogramms in diese zweite Zone ein An- 
fangsgeldsaldo eingeschrieben wird, und dali, 
bei der Verwendung des Programms, dieser Be- 
trag in AbhSngigkeit der Infbrmationen der tat- 
sachlich verstrichenen Zeit (fn), die von der Zu- 
satzeinheit erarbeitet wurden, verringert wird. 

5. Verfahren nach Anspruch 4, dadurch gekenn- 
zeichnet, daR die Haupteinheit in der Lage ist, zur 
Zusatzeinheit Unterbrechungsinformationen bei 
gewissen Ausfuhrungsphasen des Rechnerpro- 
gramms auszugeben, und daft die Zusatzeinheit 
beim Empfang einer Unterbrechungsinformation 
die Messung der tatsachlich verstrichenen Zeit 
seit dem vorhergehenden Befehl (C n ) und somit 
die Verringerungdes Geldsaldos unterbricht. 

6. Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, daft bei der Aufnahme eines jeden er- 
sten Befehls (C n ) die Zusatzeinheit ein Beglei- 
chungssignal, das mit Hilfe eines neuen Geheim- 
schlussels (f nn ) codiert ist, und einen neuen Ge- 
heimschlussel (f nh ) ubertragt, der mit Hilfe des 
vorhergehenden Schlussels (f n ) codiert ist. 

7. Einrichtung zum Betrieb eines Rechnerpro- 
gramms, geliefert von einem Besitzer zu einem 
Verwender mit: 

einem ersten Trager (16), in dem das Rechner- 
programm gespeichert ist; einem zweiten ent- 
fernbaren Trager (24), der eine Speicherzone 
(44) aufweist, die geeignet ist, Informationen auf- 
zunehmen; 

einer Haupteinheit (10) zum Laden und Ausfuh- 
ren des Rechnerprogramms des ersten Tragers; 
und 

einer Zusatzeinheit (20), die in der Lage ist, den 
zweiten Trager aufzunehmen, wobei die Zusatz- 
einheit mit der Haupteinheit verbunden ist, urn 
den Informationsaustausch zwischen der Haupt- 
einheit und der Zusatzeinheit zu ermoglichen, 
wobei die Einrichtung dadurch gekennzeichnet 
ist, dad: 

das in dem ersten Trager gespeicherte Rechner- 
programm iiber die Gesamtheitder Ausfuhrungs- 
anweisungen hinaus erste Befehle (C n ) zum 
Steuern der Ubertragung von Zwischenergebnis- 
sen (Rl) zur Zusatzeinheit, und zweite Befehle 
(C n ) aufweist, urn von der Zusatzeinheit die Lie- 
ferung zur Zentraleinheit von vorhergehenden 
Zwischenergebnissen anzufbrdern, und da& 
die Zusatzeinheit Einrichtungen zum Speichern 
in der Speicherzone des entfernbaren zweiten 
Tragers, der Zwischenergebnisse, die von der 
Haupteinheit ausgegeben werden, und zum 
Ubertragen der Zwischenergebnisse beim Emp- 
fang eines zweiten Befehls (C n ) zur Haupteinheit, 
aufweist 
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8. Einrichtung nach Anspmch 7, dadurch gekenn- 
zeichnet, da& der zweite entfernbare Triger eine 
Speicherkarte (24) mit elektronischem Schalt- 
kreis ist, die Speichereinrichtungen (44) und Ver- 
arbeitungseinrichtunger (40) aufweist. 5 

9. Einrichtung nach Anspruch 8, dadurch gekenn- 
zeichnet, dad in dem Rechnerprogramm wenig- 
stens gewissen Oder bestimmten der Befehle 

(C n ) eine Zeitdauerinformation (y zugeordnet 10 
wird, die wenigstens gleich der normaten Ausf uh- 
rungszeit des Rechner program ms zwischem 
dem genannten Befehl (Cn) und dem nachfolgen- 
den Befehl (C^) ist, dad die Haupteinheit Ein- 
richtungen aufweist, urn zu den Zusatzeinrich- 15 
tungen die Zeitdauerinformation (tj auszuge- 
ben, und dad die Verarbeitungseinrichtungen der 
Karte Einrichtungen zum Abziehen dereffektiven 
Zeit (T n ) aufweisen, die zwischen dem Befehl (C n ) 
und der Aufnahme des nachfolgenden Befehls 20 
(C n+1 ) verstreicht und Einrichtungen zum Verglei- 
chen der Zeitdauerinformation (t„) und der tat- 
sachlichen Zeit (T n ) aufweisen. 

10. System nach einem der Anspruche 7 bis 9, da- 25 
durch gekennzeichnet, daft die Verarbeitungs- 
einrichtungen Einrichtungen zum Ausarbeiten 

von Geheimschlusseln (f n ), und Einrichtungen 
zum Ausarbeiten, in Antwortauf die Aufnahme ei- 
nes Befehls (Cn), einer Antwort, die mit Hilfe des 30 
Schlussels (f n ) codiert ist, und des Schlussels (f n ) 
aufweisen, der mit Hilfe des vorhergehenden 
Schlussels (f^O codiert ist 

11. Einrichtung nach Anspruch 9, dadurch gekenn- 35 
zeichnet, daR die Karte Speichereinrichtungen 

(44) zum Speichern einer Anfangsgeldsaldo In- 
formation beim Entfernen der Karte mit dem er- 
sten Trager (16), der das Rechenprogramm ent- 
halt, aufweist, und da& die Bearbeitungseinrich- 40 
tungen (40) der Karte Einrichtungen zum Verrin- 
gern des Ausgangssaldos in Abhangigkeit der 
tatsSch lichen Zeitinformation (T n ) aufweisen. 

12. Einrichtung nach einem der Anspruche 7 bis 11, 45 
dadurch gekennzeichnet, dad die Zusatzeinheit 

(20) ein Leser von Speicherkarten (22) ist, der in 
der Lage ist, zu dem Kreis (30) der Karte (24) Le- 
se befehle und Inform at ionsschreib befehle zu 
ubertragen. 50 



Claims 



1. Method of running software by means of a sys- 
tem comprising at least a main apparatus on 
which said software is run and an auxiliary run- 
ning device for receiving a removable data me- 



ss 



dium including at least a memory zone and suit- 
able for interchanging information between said 
main apparatus and said memory zone, charac- 
terized in that it comprises the steps of : 

• defining in said software a certain number 
of commands requesting communication 
with said auxiliary device, said commands 
comprising first commands (C n ), each first 
command being associated with the gener- 
ation of an intermediate result for said soft- 
ware, and second commands (C n ), each 
second command being associated with a 
request for an intermediate result in order to 
enable the software execution to continue; 

- on the appearance of each first command 
(Cn), transferring into said memory zone of 
the removable data medium said associat- 
ed intermediate results so that said inter- 
mediate result is no Jonger available in the 
main apparatus; and 

- on the appearance of each second com- 
mand (C n ), reading one of said intermediate 
results from said memory zone and trans- 
ferring same in said main unit, thereby en- 
suring that said software cannot be execut- 
ed in full unless said suitable removable 
medium is present in said auxiliary device. 

2. Method according to claim 1, characterized in 
that at least some of the commands (C n ), in said 
software are associated a duration information 
(t n ) which is at least equal to the normal execution 
time of said software between said command 
(C n ) and the following command (C^); said dur- 
ation information (tn) being transmitted to said 
auxiliary device, and being compared in said aux- 
iliary device with the time that effectively elapses 
between receiving two successive commands 
and the duration information (tn); the access to 
said auxiliary device being inhibited or not inhib- 
ited as a function of the result of said comparison. 

3. Method according to any one of claims 1 and 2, 
characterized in that on receiving each second 
command (C n ), said auxiliary device transmits a 
reply which is encoded on the basis of a new se- 
cret key (fn*,) together with the new secret key 
(f n+1 ) encoded using the preceding key (f n ). 

4. Method according to claim 2, in which said soft- 
ware is rented by an owner to a user, character- 
ized in that a pecuniary balance second zone is 
additionally defined in the memory zone of said 
removable medium, in that an initial pecuniary 
balance is written into said second zone when the 
software is supplied, and in that said balance is 
decremented during utilization of said software 
as a function of the information relating to time 



9 



17 



EP 0 430 734 B1 



18 



effectively elapsed (U as generated by said aux- 
iliary device. 

5. Method according to claim 4, characterized in 
that said main apparatus is suitable for transmit- s 
ting interrupt information to said auxiliary device 
during certain stages of the execution of said 
software, and in that on receiving interrupt infor- 
mation, said auxiliary device interrupts its meas- 
urement of the time effectively elapsed since the to 
preceding command (C n ), thus interrupting the 
decrementation of the pecuniary balance. 

6. Method according to claim 3, characterized in 

that on receiving each first command (C n ), said 15 
auxiliary device transmits an acknowledgement 
signal which is encoded using a new secret key 
(f nn ) and a new secret key (f nh ) which is encoded 
using the preceding key (f n ). 

20 

7. System for running software provided by an own- 
er to a user, comprising: 

a first medium (16) in which said software 
is stored; 

a removable second medium (24) includ- 25 
ing a memory zone (44) suitable for receiving in- 
formation; 

a main apparatus (10) for loading said 
software from the first medium, and for running 
it; and 30 

an auxiliary device (20) suitable for receiv- 
ing said second medium, said auxiliary device 
being connected to said main apparatus to en- 
able information to be interchanged between said 
main apparatus and said auxiliary device; said 35 
system being characterized in that 

said software stored in said first medium 
includes a set of instructions for execution to- 
gether with first commands (CJ for causing inter- 
mediate results (Rl) to be transferred to said aux- 40 
iliary device and second commands (C n ) for re- 
questing said auxiliary device to provide preced- 
ing intermediate results to the main apparatus, 
and 

in that said auxiliary device comprises 45 
means for storing said intermediate results trans- 
mitted by said main apparatus in the memory 
zone of said second removable medium, and for 
transmitting intermediate results to said main ap- 
paratus on receiving a second command (C n ). so 

8. System according to claim 7, characterized in 
that second removable medium is an electronic 
circuit memory card (24) including memory 
means (44) and processor means (40). 55 

9. System according to claim 8, characterized in 
that, said software associates at least some of 



said commands (C n ) with duration information (tj 
which is at least equal to the normal execution 
time of said software between said command 
(C n ) and the following command (C^). in that 
said main apparatus includes means for trans- 
mitting said duration information (U to said aux- 
iliary device, and in that said processor means of 
the card include means for counting the effective 
time (T n ) that elapses between said command 
(C n ) and receiving the following command (C^), 
and means for comparing the duration informa- 
tion (tn) said effective time (Tn). 

10. System according to any one of claims 7 to 9, 
characterized in that said processor means in- 
clude means for generating secret keys (f n ) and 
means responsive to receiving a command (C n ) 
for generating an encoded response using said 
key (f n ) and said key (f n ) encoded using the pre- 
ceding key (fn. 

11. System according to claim 9, characterized in 
that said card includes memory means (44) for 
storing initial pecuniary balance information 
when said card is issued with said first medium 
(16) containing said software and in that said 
card processor means (40) include means for 
decrementing said initial balance as a function of 
the effective time information (T n ). 

12. System according to any one of claims 7 to 11, 
characterized in that said auxiliary device (20) is 
a memory card reader (22) suitable for transmit- 
ting data read instructions and data write instruc- 
tions to the circuit (30) of said card (24). 
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